当用户在 Web 应用程序中导航 ASP.NET 页时，ASP.NET 会话状态使您能够存储和检索用户的值。HTTP 是一种无状态协议。这意味着 Web 服务器会将针对页面的每个 HTTP 请求作为独立的请求进行处理。服务器不会保留以前的请求过程中所使用的变量值的任何信息。

ASP.NET 会话状态将来自限定时间范围内的同一浏览器的请求标识为一个会话，当每个用户首次与这台WWW服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。Session提供用于在该会话持续期间内保留变量值的方法。默认情况下，将为所有 ASP.NET 应用程序启用ASP.NET 会话状态.

会话变量可以是任何有效的 .NET Framework 类型, 注意：当使用 InProc 以外的会话状态模式时，会话变量类型必须为基元 .NET 类型或可序列化的类型。这是因为会话变量值存储在外部数据存储区中。

会话由一个唯一标识符标识，可使用 SessionID 属性读取此标识符。为 ASP.NET 应用程序启用会话状态时，将检查应用程序中每个页面请求是否有浏览器发送的 SessionID 值。如果未提供任何 SessionID 值，则 ASP.NET 将启动一个新会话，并将该会话的 SessionID 值随响应一起发送到浏览器。

默认情况下，SessionID 值存储在 Cookie 中。但也可以将应用程序配置为在“无 Cookie”会话的 URL 中存储 SessionID 值。只要一直使用相同的 SessionID 值来发送请求，会话就被视为活动的。如果特定会话的请求间隔超过指定的超时值（以分钟为单位），则该会话被视为已过期。使用过期的 SessionID 值发送的请求将生成一个新的会话。

安全说明：

无论是作为 Cookie 还是作为 URL 的一部分，System.Web.SessionState.HttpSessionState.SessionID 值都以明文的形式发送。恶意用户通过获取 SessionID 值并将其包含在对服务器的请求中，可以访问另一位用户的会话。如果您将敏感信息存储在会话状态中，建议使用 SSL 来加密浏览器和服务器之间包含 SessionID 值的任何通信。

默认情况下，SessionID 值存储在浏览器的不过期会话 Cookie 中。但是，通过在 Web.config 文件的 sessionState 节中将 cookieless 属性设置为 true，可以指定不应将会话标识符存储在 Cookie 中。

<configuration>

  <system.web>

    <sessionState cookieless="true"

      regenerateExpiredSessionId="true" />

  </system.web>

</configuration>

ASP.NET 通过自动在页的 URL 中插入唯一的会话 ID 来保持无 Cookie 会话状态。例如，下面的 URL 已被 ASP.NET 修改，以包含唯一的会话 ID lit3py55t21z5v55vlm25s55：

http://www.example.com/(S(lit3py55t21z5v55vlm25s55))/orderform.aspx

搭建Session服务器的几种方式

　　将Session保存在独立的服务器中可以实现在多台Web服务器之间共享Session.虽然我们也可以自己开发Session存储系统, 但是使用ASP.NET自带的存储机制将更加便捷.

　　.NET提供了5种保存Seission的方式:

　　我们可以在Web.Config中配置程序使用的Session存储方式.默认情况下是InProc, 即保存在IIS进程中. 关于Off, InProc和Customer本文不做讲解. 相关文章大家都可以在网上搜索到.

　　下面主要讲解 StateServer 和 SQLServer 的应用.

　　四.使用 StateServer 模式搭建Session服务器

　　(1)服务器端配置

　　1.启动 Asp.net State service服务.(这个服务默认的状态为手动.修改为自动并启动.)

　　2.修改注册表: [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\aspnet_state\Parameters]

　　设置 AllowRemoteConnection = 1 , 设置 Port = 42424 (十进制,默认即为42424)

　　Port是服务的端口号

　　AllowRemoteConnection 表示是否允许其他机器连接,0为仅能本机使用,1为可以供其他机器使用.

　　(2)客户端设置

　　在Web应用程序的Web.Config中, 我们需要修改 / 的节点.如果没有

　　没有则添加(默认使用的是InProc方式)

　　mode="StateServer"

　　stateConnectionString="tcpip=服务器ip:42424"

　　cookieless="false"

　　timeout="60"/>

　　上面的参数我们可以根据需要修改.

　　五.使用SqlServer模式搭建Session服务器

　　(1)服务器端配置

　　使用SqlServer模式搭建Session服务器端有两种方式. ASP.NET 1.0和1.1版本请使用方式a, 2.0即以上版本请使用方式b.

　　a.使用SQL文件创建Session数据库

　　在ASP.NET 1.0和1.1 版本中, 只能使用这种方式.对于2.0及其以上版本,请使用aspnet_regsql.exe工具.(当然此方法也通用2.0版本)

　　.net提供了数据库安装脚本,可以在机器的windows文件夹中找到:

　　C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ InstallSqlState.sql

　　C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ InstallSqlStateTemplate.sql

　　根据ASP.NET的版本不同, 需要使用不同的SQL脚本. ASP.NET主要有1.1和2.0两个版本,可以在不同的版本文件夹找到这两个SQL.

　　InstallSqlState.sql 是创建默认名称的数据库"[ASPState]".此SQL可以直接运行.

　　InstallSqlStateTemplate.sql 可以使用自己指定的数据库保存数据.此SQL需要自己修改后运行, 打开SQL文件将其中 [DatabaseNamePlaceHolder] 替换为自己指定的数据库名称.

　　执行installsqlstate.sql时不需要指定数据库,可以在任意数据库上执行.此SQL会自己创建新的数据库

　　b. 使用aspnet_regsql.exe工具

　　ASP.NET 2.0版本后微软提供了aspnet_regsql.exe工具可以方便的配置Session数据库.该工具位于 Web 服务器上的"系统根目录\Microsoft.NET\Framework\版本号"文件夹中.

　　使用举例:

　　aspnet_regsql.exe -S . -U sa -P 123456 -ssadd -sstype p

　　-S参数:

　　表示数据库实例名称. 可以用"."表示本机.

　　-U和-P参数:

　　表示用户名和密码.

　　-E参数:

　　可以再-U –P 与 -E中选择一组. –E表示以当前系统用户通过windows身份验证登录数据库, -U -P则是使用SqlServer用户登录数据库.

　　-ssadd / –s-s-remove 参数:

　　-ssadd表示是添加Session数据库, -s-s-remove表示移除Session数据库.

　　sstype 参数:

　　(2)Session客户端设置

　　此房是同样需要Web应用程序修改Web.Config中的节点.如果使用默认的数据库(ASPState库), 则配置如下:

　　 <sessionState

      mode="SQLServer"

      sqlConnectionString="server=192.168.9.151; uid=sa; pwd=123456;"

      />

　　如果使用了自定义的数据库名称,则还需要制定allowCustomSqlDatabase属性并在数据库连接串中指定数据库:

　　<sessionState

      mode="SQLServer"

      allowCustomSqlDatabase="true"

      sqlConnectionString="server=192.168.9.151; DataBase=MyAspState;uid=sa; pwd=123456;"

      />

　　六.使用经验与技巧总结

　　下面是SessionID, Session_End时间, StatServer模式 和 SqlServer模式的各种经验和技巧总结.

　　(1)StateServer模式:

　　1.在web farm中，请确认在所有的web服务器上有相同的

　　2. 要保存在Session中的对象是可序列化的。

　　3.为了在web farm中的不同web服务器上维护session state，IIS Metabase中的网站应用程序路径(如\LM\W3SVC\2)应该在所有的服务器上保持一致(大小写敏感).

　　4. ASP.NET处理Session是在Machine.Config中配置的HttpModuel模块, 在.NET的安装目录下的Config文件夹中, 查看Web.Config(1.1版本是在Machine.Config):

　　<httpModules>

            ...

<add name="Session" type="System.Web.SessionState.SessionStateModule"/> ...

</httpModules>

　　确认此模块是否存在.

　　5.StateServer不支持负载均衡, 所以如果大并发推荐使用SqlServer模式, 可以享受到SqlServer的高性能和安全性.虽然存储效率会有下降.

　　6.需要让所有机器的MachineKey相同.在Machine.Config中配置:

　　<machineKey

validationKey="1234567890123456789012345678901234567890AAAAAAAAAA"

decryptionKey="123456789012345678901234567890123456789012345678"

validation="SHA1"

decryption="Auto"

/>

　　(2)SqlServer模式:

　　1. 要保存在Session中的对象是可序列化的。

　　2. 如果使用了默认是数据库, 则在客户端配置文件中的数据库链接字符串的用户,需要拥有ASPState和tempdb两个库的dbowner权限.

　　3. 在SQLServer模式下，session过期是由SQL Agent使用一个注册任务完成的，要确认SQL Agent已经运行。否则无法清理过期的Session数据, 会导致数据库数据一直增加.

　　4. 如果使用SqlServer模式时, 对于Web场中的各服务器的 ASP.NET 应用程序路径必须是相同的。请在 IIS 配置数据库中对 Web 场中的所有 Web 服务器进行 Web 站点的应用程序路径同步。大小写一定要相同，因为 Web 站点的应用程序路径是区分大小写的。

　　5.需要让所有机器的MachineKey相同.在Machine.Config中配置:

　　<machineKey

validationKey="1234567890123456789012345678901234567890AAAAAAAAAA"

decryptionKey="123456789012345678901234567890123456789012345678"

validation="SHA1"

decryption="Auto"

/>

　　(3)Session:

　　1. 不能直接通过Session服务器在ASP.NET和ASP之间共享Session. 请使用微软提供的解决方案:

　　http://msdn.microsoft.com/zh-cn/library/aa479313.aspx

　　2. 在不同的应用程序或一个网站的不同虚拟目录之间无法共享Session

　　3. Session的过期时间是滑动时间.

　　4. Session存储.NET自带的值类型性能最优. 存储对象会降低性能.

　　(4)SessionID:

　　1.SessionID 还可以保存在URL上, 设置Web.Config文件中的System.Web/sessionState节点的Cookiesless属性即可:

　　 <sessionState

      cookieless="UseUri"

      />

　　2. 一般在Session超时或删除之后，SessionID保持不变. 因为Session过期后会在服务器端清除数据, 但是SessionID保存在用户浏览器上, 所以只要浏览器不关闭则HTTP头中的SessionID保持不变.

　　3.关闭浏览器后再访问, SessionID会不同.

　　4.每打开一个IE6窗口, SessionID都不同, 在IE6中两个窗口的Session不能共享.

　　5.FireFox的标签页和新的FireFox窗口, SessionID都相同, 在FF的窗口和标签页上Session能共享.

　　6.对于包含FrameSet的页面,比如：

　　<frameset cols="25%,50%,25%">

  <frame src="SessionID.aspx">

  <frame src="SessionID.aspx">

  <frame src="SessionID.aspx">

</frameset>

　　如果后缀名是.htm并且.htm文件没有交给ASP.NET的ISAPI处理, 那么根据服务器速度在每个Frame页面生成不同的SessionID, 再刷新后相同都等于最后一个SessionID.

　　解决办法是将.htm后缀改成.aspx, 或者将.htm文件交给ASP.NET的ISAPI处理.

　　(5)Session_End事件:

　　1. Session_End仅在InProc模式中可用

　　2. 关闭浏览器，Session_End是不会触发的。HTTP是一种无状态协议，服务器没有办法知道你的浏览器是否已经关闭。

　　3. 当Session因为时间过期或调用Session.Abandon时，Session_End才会触发.Session.Clear()仅仅是清除数据，但没有删除session。

　　4. Session_End由一个后台线程触发，使用工作者进程账号运行. 所以程序不会通知发生的错误.

　　5. 在Session_End访问数据库要考虑权限问题. Session_End是用运行工作者进程(aspnet_wp.exe)的帐号运行的，这个账号可以在machine.config中指定。因此，在Session_End中，如果使用integrity security连接SQL，它将使用工作者进程账号身份连接，这可能会引起登录失败.

　　6.因为Session_End是有独立线程出发的, 所以在Session_End中无法使用HttpContext对象(Request,Response,Server等对象都在HttpContext中), 即无法使用 Response.Redirect 和Server.Transfer等方法.

　　七.总结

　　我已经使用SqlServer模式对公司的多台服务器实现了Session共享, 服务器重启也不会导致用户预定过程重新开始(预定过程需要的Session不会丢失). 希望本文对具体的Session服务器搭建人员有所帮助.